Hlavní navigace

Bezpečnostní střípky: vysoká chybovost webových aplikací

Jaroslav Pinkava 16. 11. 2009

Pravidelný pondělní přehled informací vztahujících se k problematice bezpečnosti IT. Z novinek tohoto týdne lze upozornit na články zabývající se problematikami kybernetické války, na objevené zranitelnosti Windows 7, Flashe a SSL a na seznamy nástrojů, které pomohou při šetření incidentů s malware.

Obecná a firemní bezpečnost IT

Ubránila se Evropa digitální gilotině? Jiří Peterka na Lupě: Evropský parlament se v dohodovacím řízení nakonec přece jen dohodl s Radou EU na řešení sporného bodu, který až dosud blokoval přijetí celého telekomunikačního balíčku, a který se týká možnosti odpojování uživatelů od Internetu. Podstatu výsledného kompromisu si ale různé strany vykládají různě. Odlišně ho interpretují dokonce i různé pirátské strany.

Ve studii Laissez-faire file sharing. Access control designed for individuals at the endpoints je popsán formální model pro požadavky na přístup v koncových bodech. Studie je podrobněji rozebírána v komentářích na Schneierově blogu – Laissez-Faire Access Control.

Objevily se vaše fotografie bez vašeho svolení na cizím webu? Jak to vlastně zjistíte? Dave Johnson ukazuje některé cesty – Finding Your Photos Online.

CBS News: kybernetická válka se blíží, dopady budou veliké – Cyber War: Sabotaging the System. Tuto rozsáhlejší diskuzi k aktuální situaci stručněji shrnuje článek – Cyber war is coming, the impact could be huge.

Pentagon koupil systém včasného varování proti kybernetickým útokům – Pentagon chiefs buy net-security early warning system. Lewis Page v této informaci říká: program se nazývá Network Operations Situational Awareness (NetOps SA) a integruje některé již dříve vyvinuté nástroje do jednoho systému.

Proběhl další útok na Facebook – Hundreds of Facebook groups ‚hijacked‘ . Tentokrát jsou jeho předmětem skupiny (Facebook groups). Více než jejich dvě stovky byly převzaty útočníkem a pojmenovány Control Your Info. Útočníci tvrdí, že poukazují na bezpečnostní chybu Facebooku, kterou oni objevili a týká se práce administrátorů skupin Facebooku.

UK – jsou chystány plány vlády na uchovávání veškerých informací z internetového provozu – Gov't stands firm on web-monitoring plans. V článku Tom Espiner komentuje připravovaný plán, kdy poskytovatelé internetového připojení budou mít povinnosti tohoto typu. Jsou vznášeny připomínky, které se týkají jak technické realizovatelnosti takovéhoto náročného programu, tak i ochrany soukromí.

Pracovník FBI se podělil některými příhodami z kybernetického podsvětí – An FBI Cybercrime Agent's Tales From the Trenches. Shawn Henry na fóru ve Vancouveru (Information Security Forum´s World Congress) sdělil některé informace z vyšetřování FBI, které se týkaly hackovacích technik.

How to DDOS a federal wiretap aneb jak obejít odposlechy (USA). Odborníci z University of Pennsylvania našli chybu v technologiích, které používá americký stát pro zákonem stanovené odposlechy. Svůj výsledek prezentují na počítačové konferenci v Chicagu – Can They Hear Me Now? A Security Analysis of Law Enforcement Wiretaps.
Další komentář k tomuto výsledku je obsažen v článku Researchers: Flaw in Fed Wiretaps Could Allow Circumvention.

Na Schneierově blogu proběhla diskuze k výpadkům proudu v Brazilii – Hacking the Brazil Power Grid. Jsou za tím skutečně hackeři? Ano či ne? Jak se zdá, pravda se hledá obtížně.

Kořen DNS a správa klíčů – sedm lidí bude ovládat přístupová data – Seven keyholders for the DNS root zone. Nejméně pět lidí z těchto sedmi musí být přítomno pro generování nového hlavního klíče (master key) a tři při generování nového podpisu.

Velká Británie – bojová kybernetická jednotka začne fungovat v březnu – UK's cyber warriors go into battle in March. Onward online soldiers. Cyber Security Operations Centre (CSOC) je umístěna v Cheltenhamu, stejně jako GCHQ. Na počátku zde bude pracovat 19 lidí.

Objevila se další esej Bruce Schneiera, tentokrát její ústřední otázkou je ekonomika s reputací a bezpečnost – Security in a Reputation Economy. Schneier se zamýšlí nad otázkami reputace podnikání na straně jedné a bezpečnostními otázkami na straně druhé. Pokud organizace má bezpečnostní problém, může přijít o zákazníky. Je zde tedy tlak na dodržování bezpečnostních aspektů podnikání. Tlak reputace se však někdy projevuje i obráceně, organizace zamlčí svůj bezpečnostní problém.

Software

Webové aplikace – devět z deseti obsahuje vážné chyby – CENZIC. Web Application Security Trends Report Q1-Q2, 2009. A týká se to i takových renomovaných firem a jejich aplikací jako SAP , Sun, Citrix , Apache, F5 Networks, Symantec a IBM. Je to jeden z výsledků studie Web Application Security Trends Report, Q1-Q2, 2009 (Cenzic Intelligence Research – CIA). Komentáře k této studii:

Jiný komentář, který se týká této zprávy, vybírá informace, které se dotýkají bezpečnosti prohlížečů:

Aktualizujte svůj FreeBSD software opatrně – Update your FreeBSD software with care. Chad Perrin vysvětluje, proč a uvádí svá doporučení.

Microsoft's UAC: A change in philosophy from Vista to Windows 7? – UAC – mění se jeho filosofie při přechodu od Windows Vista k Windows 7? Michael Kassner rozebírá vlastnosti UAC (odkazuje se na materiál Marka Russinoviche – Inside Windows Vista User Account Control), zabývá se AAM (Admin Approval Mode) a uvádí zjištěné změny, které charakterizuje slovy – více pohodlí, méně bezpečí.

Windows 7 jsou možná bezpečné, jsou ale uživatelé Windows v bezpečí? Z posledních záplat Windows se ani jedna netýkala Windows 7 (viz ovšem další zprávu). Ale – počítačová kriminalita hledá stále nové cesty, Robert McMillan v článku Windows 7 may be secure, but are Windows users safe? zmiňuje například cílené útoky (spear phishing) a útoky směřující ke kompromitacím. Viz také – E-mail ´biggest´ security risk, Microsoft says.

Objevena byla zranitelnost Windows 7 a Server 2008 R2 – DoS vulnerability in the SMB client of Windows 7 and Server 2008 R2. Běžní domácí uživatelé by však měli být v bezpečí. 

Viz také – Nejnovější Windows mají bezpečnostní díru, záplata zatím chybí

a odkaz na původní informaci – Windows 7 / Server 2008R2 Remote Kernel Crash .

Vydáno bylo OpenSSL 1.0.0 Beta 4. Na stránce OpenSSL 1.0.0 Beta 4 released jsou uvedeny změny proti předchozí verzi (OpenSSL 0.9.8k) a odkaz, odkud lze novou verzi stáhnout.

Jak chránit databáze proti antiforenzním nástrojům – Guarding against database anti-forensics. Cesar Cerrudo: hackování databází je v posledním období častým jevem a je stále více obtížnější zachytit stopy hackerů. Autor popisuje pak některé techniky, které útočníci používají a v návaznosti na to pak postupy, které přispějí ke zvýšení ochran databází.

Také Cain & Abel je v nové verzi v4.9.35 – Cain & Abel v4.9.35 – Password Sniffer, Cracker and Brute-Forcing Tool. Krátkou recenzi doplňují odkazy na linky, ze kterých si můžete stáhnout program a také k němu manuál.

Jak nebezpečná je objevená zranitelnost SSL? Kenneth Van Wyk se rozebírá v okolnostech, kdy tuto zranitelnost protokolu SSL je možné zneužít – Opinion: Can the SSL vulnerability hurt you?.

WordPress – nová verze 2.8.6 opravuje bezpečnostní chyby – WordPress 2.8.6 security release. V krátkém upozornění je odkaz, odkud si lze novou verzi stáhnout.

Nebezpečná chyba ve Flashi vystavuje weby rizikům – Flash flaw puts most sites, users at risk, say researchers. Konkrétně ty webové stránky, které umožňují uživatelům vkládat obsah.

Malware

Nástroje, které pomohou při šetření incidentů s malware, jejich seznamy vyložil na web Lenny Zeltser – 3 Lists for Investigating Malware Incidents. Jsou to následující tři seznamy volně dostupných nástrojů:

Vládce botů skryl svůj kontrolní panel do oblaku Google (Google cloud) – Bot herders hide master control channel in Google cloud. Google AppEngine co-opted. Komentář Dana Goodina ukazuje na jedné z nebezpečí těchto nových a zcela jistě zatím nedostatečně zabezpečených technologií.

Smashing the Mega-d/Ozdok botnet in 24 hours aneb jak byl botnet Mega-d/Ozdok zlikvidován za 24 hodin. Nejen pasivní obrana – zde úspěch slavilo aktivní dění! 

Komentář k tomu napsal Dan Goodin – Security firm chokes sprawling spam botnet. Tento botnet byl kdysi odpovědný za šíření jedné třetiny veškerého spamu. V článku
Mega-D botnet takes a hit jsou pak uvedeny dopady této aktivity (včetně grafického znázornění množství spamu).

Nastygram Briana Krebse informuje o špionském SW na falešných stránkách MySpace – Nastygram: MySpace phish plants spy software . Útočníci použili vylepšení svých triků – oddělili phisherské stránky a stránky, na kterých je malware. Doufají, že tak tyto stránky budou déle aktivní,

Botnet Zeus útočí na uživatele MySpace – ZeuS botnet sends out spam that encourages recipients to update their MySpace account and download a Trojan. Spam informuje uživatele, aby aktualizovali svůj účet MySpace. Odkaz v mailu ale vede na podvrženou stránku a pak oklamaný uživatel si místo oznamovaného nástroje MySpace Update Tool stáhne agenta botnetu Zeus (TSPY_ZBOT.SMP. – označení Trend Micro).

How a Botnet Gets Its Name aneb jak botnety dostávají svá jména. Známá komentátorka Joan Goodchild se tentokrát obrací k jednomu problému (zdánlivě méně důležitému, má však zásadní význam pro koordinaci boje s malware), jaké cesty vedou k ujednocení názvu těchto struktur.

Ochrana operačních systémů před rootkity je předmětem studie čínských autorů (Zhi Wang, Xuxian Jiang, Weidong Cui a Peng Ning), která byla přednesena tento týden na konferenci 16th ACM Conference on Computer and Communications Security. Autoři přichází s novou cestou pro blokování rootkitů. Komentáře:

Gumblar – jak funguje systém tohoto malware? Na blogu KasperskyLab autor článku The Gumblar system rozebírá vlastnosti Gumblara. Upozorňuje na cesty útoků přes ftp.

Viry

Jiná esej Bruce Schneiera si bere na paškál otázku : Je antivir mrtvý? Své úvahy Schneier shrnuje: Antivirový software není ani nezbytný ani dostatečný pro bezpečnost, je to však stále dobrá myšlenka – Is Antivirus Dead?.

Pět pravidel pro ochranu Windows antivirovým softwarem rozepisuje Chad Perrin – Five rules for protecting Windows with antivirus software:

  1. Nainstalujte AV SW dříve, než se připojíte k internetu.
  2. Nepoužívejte doporučovaný AV SW.
  3. Používejte AV se skenerem v reálném čase.
  4. Provádějte pravidelně úplné skeny systému.
  5. Nepoužívejte dva AV programy.

Toto jsou obecně citovaná doporučení, Chad Perrin pak přidává i něco ze svých vlastních zkušeností.

Malware zaviní, že nevinní uživatelé mohou být obvinění za zneužívání dětí – How malware frames the innocent for child abuse. Malware a pedofilové, to je nepříjemné spolčení.

Ještě k virům přinášejícím dětské porno se vrací Larry Magid - A child porn-planting virus: Threat or bad defense?. Přemýšlí, jak je tato hrozba reálná a zda existují cesty k obraně. Zabývá se otázkami šíření dětské pornografie profesionálně jako člen National Center for Missing & Exploited Children.

Bezdrát

Jak se chránit na veřejných přístupových bodech bezdrátu (např. na letištích)? K tomu přichází s pěti doporučeními Jeff Bertolucci – Google's Free Airport Wi-Fi: Five Ways to Protect Yourself.

Mobilní telefony

Byl objeven první červ pro iPhone – First iPhone worm discovered – ikee changes wallpaper to Rick Astley photo. Austrálie – červ mění pozadí na obrazovce, objeví se tam obrázek popové hvězdy devadesátých let (Rick Astley). Červ se do mobilu dostane, pokud jeho uživatel nezměnil defaultní heslo pro SSH.

A byl zjištěn i druhý červ pro iPhone a to během jednoho týdne – Apple iPhone hit by second worm in a week with warnings made that this threat should be taken seriously. Odsud vyplývající doporučení uživatelům: změňte co nejrychleji defaultní hesla.

Spam

A year later: A look back at McColo  – problematičtí poskytovatelé pomáhají šiřitelům spamu. Brian Krebs hodnotí situaci rok po odpojení poskytovatele McColo.

Nastygram: Dejte si pozor na podvržené zprávy (jakoby od NACHA) – Nastygram: Beware the NACHA gotcha. NACHA – The Electronic Payments Association – je nezisková organizace, která vyvíjí pravidla pro platební společnosti. Ve čtvrtek začali podvodníci chrlit zprávy, které od této organizace mají pocházet a upozorňují na problém s účtem uživatele (adresáta mailu). Je zde pak odkaz na podrobnější zprávu, ze kterého (když na něj oběť klikne) vykoukne kopie Zeuse (Zbot).

Forenzní analýza

COFEE – forenzní nástroj Microsoftu uniknul na internet – Microsoft Forensics Tool For Law Enforcement Leaked Online . Bohužel – lze se obávat možných zneužití, říká Kelly Jackson Higgins.

První dojmy z uniklého forenzního nástroje Microsoftu COFEE, k nim uvádí několik poznámek autor článku A first impression of Microsoft's fo­rensic tools that got away . Také varuje – kopie získané někde na torentu moho obsahovat malware.

Autentizace, hesla

OpenID – klady a zápory, ty ve svém článku shrnuje John Edwards – Identity Heft: OpenID and What It Means for Web Security.

Elektronický podpis

Hesla k datovým schránkám: musíte je měnit každých 90 dnů! Jiří Peterka na Lupě: Zatím nedokumentovaná vlastnost datových schránek vás nutí měnit si heslo každých 90 dnů. A to i v případě, že používáte silnější autentizaci, opírající se o certifikát. Na změnu hesla máte 5 pokusů, během kterých se ke své schránce sice můžete přihlásit, ale k jejímu obsahu se bez úspěšné změny hesla nedostanete. Pokud tyto pokusy nevyužijete, vaše přihlašovací údaje jsou zneplatněny.

Kryptografie

Eliptická kryptografie – rozbito bylo schéma ECC ECC2K-130 – Breaking ECC2K-130. Jedná se o kryptografické schéma, které využívá Koblitzovu eliptickou křivku nad polem 2 exp 131. Na výsledku se podílela celá řada odborníků, rozsáhlá optimalizace použitých algoritmů a intenzivní využití výpočetní techniky.

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Vitalia.cz: Jak vybrat ořechy do cukroví a kde mají levné

Jak vybrat ořechy do cukroví a kde mají levné

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

DigiZone.cz: ČRa DVB-T2 ověřeno: Hisense a Sencor

ČRa DVB-T2 ověřeno: Hisense a Sencor

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET